《個人信息保護法》下員工個人信息保護合規(guī)清單

《個人信息保護法》下員工個人信息保護合規(guī)清單員工個人信息保護制度構(gòu)建是否建立員工個人信息保護制度？□是□否是否建立員工個人信息分類分級保護機制，根據(jù)員工個人信息性質(zhì)，選擇適用不同的合法性基礎(chǔ)，比如事先區(qū)分哪些個人信息為實施人力資源管理所必須，哪些信息需事先獲取員工同意？□是□否是否通過顯著方式（勞動規(guī)章制度、（集體）勞動合同等）向員工以清晰易懂的語言真實、準確、完整地明確告知員工個人信息保護制度（范圍、目的、處理方式、救濟等），并讓員工閱讀知悉并簽字？□是□否在處理員工敏感個人信息時，是否事先獲取員工的單獨同意，即在處理員工敏感個人信息前就該事項進行單獨告知并獲取同意？□是□否是否將員工個人信息的處理范圍限制在實施人力資源管理的必要范圍之內(nèi)？（比如在辦理入職手續(xù)時僅處理姓名、年齡、學歷、工作經(jīng)歷等“與勞動合同直接相關(guān)”的個人信息，而不得收集婚育情況、宗教信仰等與勞動合同并不直接相關(guān)的個人信息）□是□否當員工個人信息保護制度變更或超出員工同意處理個人信息時，是否重新告知員工，并在必要情況下獲取其同意？

□是□否是否建立便捷的員工行使權(quán)利的申請受理和處理機制，當存儲的員工個人信息存在錯誤或超出同意/人力資源管理必要范圍時，給予員工必要有效的救濟？□是□否是否采取相應(yīng)的加密、去標識化等安全技術(shù)措施保障員工個人信息安全？□是□否是否建立員工個人信息安全事件應(yīng)急機制？□是□否是否將非法處理員工個人信息的行為列舉為重大違紀行為，以降低以非法處理員工個人信息為由解除勞動關(guān)系的法律風險？□是□否是否明確員工個人信息保護責任人或負責機構(gòu)？□是□否是否根據(jù)部門及崗位職責設(shè)計不同的員工個人信息訪問權(quán)限？□是□否是否與可接觸、處理員工個人信息的崗位人員（比如財務(wù)人員、檔案管理人員、人事部員工等）簽署保密協(xié)議？□是□否是否定期開展員工個人信息保護安全教育與培訓，并做好留痕工作？□是□否日常管理中的員工個人信息保護是否引入基于指紋、聲紋、人臉信息等生物識別信息或地理位置、行蹤軌跡等信息的考勤系統(tǒng)？□是□否是否提供其他可替代的考勤方式供員工選擇？□是□否在辦公區(qū)域安裝監(jiān)控設(shè)備時，是否事先對員工進行明確告知，并在視頻采集區(qū)域設(shè)置顯著的提示標識？□是□否是否僅在公開辦公區(qū)域安裝監(jiān)控設(shè)備的情況？□是□否是否會對員工的工作郵箱、電話、其他信息系統(tǒng)進行監(jiān)控？在采取前述監(jiān)控措施前，是否向員工明確告知用人單位對公司設(shè)備、郵箱、系統(tǒng)等采取的監(jiān)控措施和形式，并明確告知用人單位可監(jiān)控的信息范圍？□是□否企業(yè)在引入前述可能采集員工個人敏感信息的考勤系統(tǒng)或監(jiān)控設(shè)備前，是否對設(shè)備安裝的必要性與風險進行評估，是否征求員工意見？□是□否企業(yè)在收集前述人臉信息等個人敏感信息時，是否在實現(xiàn)相應(yīng)目的后及時刪除原始數(shù)據(jù)，僅存儲摘要信息或盡可能本地化部署系統(tǒng)服務(wù)器或識別算法？□是□否涉及利用員工個人信息進行自動化決策的，是否采取措施避免出現(xiàn)算法歧視或不合理差別待遇等情況？□是□否是否對利用員工個人信息進行自動化決策活動事前進行個人信息保護影響評估并采取相應(yīng)的安全保障措施？□是□否是否定期對其處理員工個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計？□是□否對外提供或委托處理中的員工個人信息保護對外提供或委托處理員工個人信息是否出于合法、必要的目的（比如代繳社保、績效分析、業(yè)務(wù)外包、背景調(diào)查等），并將員工個人信息的類型、數(shù)量、顆粒度控制在實施人力資源管理的必要范圍之內(nèi)？□是□否在委托處理員工個人信息、向其他個人信息處理者提供員工個人信息、公開員工個人信息時，是否事前進行個人信息保護影響評估，并對處理情況進行記錄？□是□否在對外提供或委托處理員工個人信息前是否事先向員工告知，并獲取員工的單獨同意？□是□否是否對接收方的個人信息保護能力和相關(guān)業(yè)務(wù)資質(zhì)進行評估？□是□否是否與接收方簽訂協(xié)議以明確個人信息保護義務(wù)？□是□否需向境外提供員工個人信息的，是否就該事項獲取員工的單獨同意？□是□否是否與境外員工個人信息接收者簽訂個人信息保護協(xié)議？□是□否在向境外提供員工個人信息前，是否具備下列條件之一：（1）通過國家網(wǎng)信部門組織的安全評估；（2）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（3）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件□是□否是否對員工個人信息的跨境流動活動事前進行個人信息保護影響評估并采取相應(yīng)的安全保障措施？□是□否應(yīng)外國司法或執(zhí)法機構(gòu)要求提供存儲于中國境內(nèi)員工個人信息的，是否獲得主管機關(guān)的批準？□是□否招聘過程中的個人信息保護通過自運營的APP、公眾號、小程序、網(wǎng)站等平臺收集應(yīng)聘者簡歷時，是否制定符合相關(guān)法律規(guī)定的隱私政策或個人信息保護政策？□是□否通過第三方招聘平臺、獵頭公司、勞務(wù)派遣公司等外部機構(gòu)獲取應(yīng)聘者或勞務(wù)派遣人員個人信息時，是否與外部機構(gòu)核實該個人信息來源的合法性及個人信息主體的同意范圍？□是□否通過外部機構(gòu)獲取的個人信息超出個人信息主體的同意范圍的，是否要求外部機構(gòu)或自行向該個人信息主體重新告知并獲取同意？□是□否與關(guān)聯(lián)公司共享應(yīng)聘者個人信息的，是否進行事前告知并獲取同意？□是□否自行或委托第三方調(diào)查機構(gòu)對應(yīng)聘者進行背景調(diào)查時，是否以書面形式告知背景調(diào)查涉及的個人信息范圍、目的、使用方式以及第三方調(diào)查機構(gòu)的名稱等相關(guān)信息，并請應(yīng)聘者簽字同意，且將個人信息處理活動限制在必要范圍內(nèi)？□是□否引入具備自動決策機制的信息系統(tǒng)對應(yīng)聘者進行篩選的，在規(guī)劃設(shè)計階段或首次使用前是否開展個人信息安全影響評估，并依評估結(jié)果采取有效的保護個人信息主體的措施？□是□否是否在使用過程中定期（至少每年一次）對上述信息系統(tǒng)開展個人信息安全影響評估，并依評估結(jié)果改進個人信息保護措施？□是□否采用自動決策機制對應(yīng)聘者進行篩選的，是否對應(yīng)聘者提供針對自動決策結(jié)果的投訴渠道，并支持對自動決策結(jié)果的人工復(fù)核？□是□否招聘環(huán)節(jié)結(jié)束后，是否及時對未錄用者的個人信息進行刪除、銷毀或匿名化處理？□是□否離職員工的個人信息保護是否對離職員工的個人信息進行分類分級，并根據(jù)法律的不同要求進行存儲？□是□否法律、行政法規(guī)規(guī)定的保存期限未屆滿，或刪除個人信息從技術(shù)上難以實現(xiàn)的，是否及時停止除存儲和采取必要的安全保護措施之外的處理？□是□否在法定的存儲期限結(jié)束或已無必要存儲時，是否及時對離職員工的個人信